Kubernetes集群安全性配置最佳實踐 · kubernetes完整攻略

# Kubernetes集群安全性配置最佳實踐本文是對Kubernetes集群安全性管理的最佳實踐。 ## 端口請注意管理好以下端口。 | 端口 | 進程 | 描述 | | --------- | -------------- | ------------------------------------------------ | | 4149/TCP | kubelet | 用于查詢容器監控指標的cAdvisor端口 | | 10250/TCP | kubelet | 訪問節點的API端口 | | 10255/TCP | kubelet | 未認證的只讀端口，允許訪問節點狀態 | | 10256/TCP | kube-proxy | kube-proxy的健康檢查服務端口 | | 9099/TCP | calico-felix | calico的健康檢查服務端口（如果使用calico/canal） | | 6443/TCP | kube-apiserver | Kubernetes API端口 | ## Kubernetes安全掃描工具kube-bench [kube-bench](https://github.com/aquasecurity/kube-bench)可以消除大約kubernetes集群中95％的配置缺陷。通過應用CIS Kubernetes Benchmark來檢查master節點、node節點及其控制平面組件，從而確保集群設置了特定安全準則。在經歷特定的Kubernetes安全問題或安全增強功能之前，這應該是第一步。 ## API設置 **授權模式和匿名認證** 像kops這樣的一些安裝程序會為集群使用`AlwaysAllow`授權模式。這將授予任何經過身份驗證的實體擁有完全訪問集群的權限。應該使用RBAC基于角色的訪問控制。檢查您的kube-apiserver進程的`--authorization-mode`參數。有關該主題的更多信息，請訪問<https://kubernetes.io/docs/admin/authorization/>。要強制進行身份驗證，請確保通過設置`--anonymous-auth = false`禁用匿名身份驗證。注意這不影響Kubelet授權模式。kubelet本身公開了一個API來執行命令，通過它可以完全繞過Kubernetes API。更多關于使用kops等工具自動安裝Kubernetes集群的安全配置注意事項請參考[Kubernetes Security - Best Practice Guide](https://github.com/freach/kubernetes-security-best-practice)。 ## 參考 - [Kubernetes Security - Best Practice Guide](https://github.com/freach/kubernetes-security-best-practice) - [Kubernetes v1.7 security in practice](https://acotten.com/post/kube17-security) - [Isolate containers with a user namespace](https://docs.docker.com/engine/security/userns-remap/) - [Docker Security – It’s a Layered Approach](https://logz.io/blog/docker-security/) - [Kubernetes 1.8: Security, Workloads and Feature Depth](http://blog.kubernetes.io/2017/09/kubernetes-18-security-workloads-and.html) - [Security Matters: RBAC in Kubernetes](https://blog.heptio.com/security-matters-rbac-in-kubernetes-e369b483c8d8)